Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Il est recommandé d’en savoir plus sur les concepts importants pour les services de fédération Active Directory et de vous familiariser avec son ensemble de fonctionnalités.
Conseil / Astuce
Vous pouvez trouver des liens de ressources AD FS supplémentaires à la section Concepts clés d'AD FS.
Terminologie AD FS utilisée dans ce guide
| Terme AD FS | Définition |
|---|---|
| Organisation partenaire de compte | Organisation partenaire de fédération représentée par une approbation de fournisseur de revendications dans le service de fédération. L’organisation partenaire de compte contient les utilisateurs qui accèdent aux applications web dans le partenaire de ressource. |
| Serveur de fédération de compte | Le serveur de fédération dans l'organisation partenaire du compte. Le serveur de fédération de compte émet des jetons de sécurité aux utilisateurs en fonction de l’authentification utilisateur. Le serveur authentifie l’utilisateur, extrait les attributs pertinents et les informations d’appartenance au groupe hors du magasin d’attributs, empaquet ces informations dans les revendications et génère et signe un jeton de sécurité (qui contient les revendications) pour revenir à l’utilisateur, soit pour être utilisé dans sa propre organisation, soit pour être envoyé à une organisation partenaire. |
| Base de données de configuration AD FS | Base de données utilisée pour stocker toutes les données de configuration qui représentent une seule instance AD FS ou service de fédération. Ces données de configuration peuvent être stockées dans une base de données SQL Server ou à l’aide de la fonctionnalité base de données interne Windows incluse dans Windows Server 2016, Windows Server 2012 et 2012 R2 et Windows Server 2008 et 2008 R2.
Vous pouvez créer la base de données de configuration AD FS pour SQL Server à l’aide de l’outil en ligne de commande Fsconfig.exe et de la base de données interne Windows à l’aide de l’Assistant Configuration du serveur de fédération AD FS. |
| Fournisseur de réclamations | L'organisation qui fournit des réclamations à ses utilisateurs. Consultez l’organisation partenaire de compte. |
| Approbation de fournisseur de revendications | Dans le composant logiciel enfichable de gestion AD FS, les approbations de fournisseur de revendications sont des objets d’approbation généralement créés dans des organisations partenaires de ressource pour représenter, dans la relation d’approbation, l’organisation dont les comptes accèdent aux ressources de l’organisation partenaire de ressource. Un objet d'approbation de fournisseur de revendications se compose d'un ensemble d'identificateurs, de noms et de règles qui identifient ce partenaire auprès du service de fédération local. |
| Approbation de fournisseur de revendications local | Objet de confiance qui représente AD LDS ou des répertoires LDAP tiers dans une ferme de serveurs AD FS. Un objet d’approbation de fournisseur de revendications se compose d’un ensemble d’identificateurs, de noms et de règles qui identifient cet annuaire LDAP auprès du service de fédération local. |
| Métadonnées de fédération | Format de données utilisé pour la communication des informations de configuration entre un fournisseur de revendications et une partie de confiance pour faciliter la configuration des approbations de fournisseur de revendications et des approbations de partie de confiance. Le format de données est défini dans SAML (Security Assertion Markup Language) 2.0 et il est étendu dans WS-Federation. |
| Serveur de fédération | Serveur Windows configuré à l’aide de l’Assistant Configuration du serveur de fédération AD FS pour agir dans le rôle serveur de fédération. Un serveur de fédération émet des jetons et fait partie d’un service de fédération. |
| Serveur proxy de fédération | Un serveur Windows qui a été configuré à l’aide de l'AD FS Federation Server Proxy Configuration Wizard pour agir en tant que service proxy intermédiaire entre un client Internet et un service de fédération situé derrière un pare-feu sur un réseau d’entreprise. |
| Serveur de fédération principal | Un serveur Windows qui a été configuré dans le rôle serveur de fédération à l’aide de l’Assistant Configuration du serveur de fédération AD FS et a une copie en lecture/écriture de la base de données de configuration AD FS.
Le serveur de fédération principal est créé lorsque vous utilisez l’Assistant Configuration du serveur de fédération AD FS, puis sélectionnez l’option permettant de créer un service de fédération et de rendre cet ordinateur le premier serveur de fédération dans la batterie de serveurs. Tous les autres serveurs de fédération de cette batterie de serveurs doivent répliquer les modifications apportées sur le serveur de fédération principal vers une copie en lecture seule de la base de données de configuration AD FS stockée localement. Le terme « serveur de fédération principal » ne s’applique pas lorsque la base de données de configuration AD FS est stockée dans une base de données SQL, car tous les serveurs de fédération peuvent également lire et écrire dans une base de données de configuration stockée sur un serveur SQL Server. |
| Partie de confiance | Organisation qui reçoit et traite les revendications. Consultez l’organisation des partenaires de ressources. |
| Approbation de partie de confiance | Dans le composant logiciel enfichable de gestion AD FS, les approbations de partie de confiance sont des objets d’approbation généralement créés dans les : - Organisations partenaires de compte pour représenter, dans la relation d'approbation, l'organisation dont les comptes accèdent aux ressources de l'organisation partenaire de ressource. Un objet de confiance de partie prenante se compose d'un ensemble varié d'identificateurs, de noms et de règles qui permettent d'identifier ce partenaire ou cette application web auprès du service de fédération local. |
| Serveur de fédération de ressources | Serveur de fédération dans l'organisation partenaire de ressources. Le serveur de fédération de ressources émet généralement des jetons de sécurité aux utilisateurs en fonction d’un jeton de sécurité émis par un serveur de fédération de compte. Le serveur reçoit le jeton de sécurité, vérifie la signature, applique la logique de règle de revendication aux revendications non empaquetées pour produire les revendications sortantes souhaitées, génère un nouveau jeton de sécurité (avec les revendications sortantes) en fonction des informations contenues dans le jeton de sécurité entrant et signe le nouveau jeton pour revenir à l’utilisateur et finalement à l’application web. |
| Organisation partenaire de ressources | Partenaire de fédération représenté par une approbation de partie de confiance dans le service de fédération. Le partenaire de ressources émet des jetons de sécurité basés sur des revendications qui contiennent des applications web publiées auxquelles les utilisateurs du partenaire de compte peuvent accéder. |
Vue d’ensemble d’AD FS
AD FS est une solution d’accès aux identités qui fournit aux ordinateurs clients (internes ou externes à votre réseau) un accès transparent à l’authentification unique aux applications ou services protégés accessibles à Internet, même lorsque les comptes d’utilisateur et les applications se trouvent dans des réseaux ou des organisations complètement différents.
Lorsqu’une application ou un service se trouve dans un réseau et qu’un compte d’utilisateur se trouve dans un autre réseau, l’utilisateur est généralement invité à entrer des informations d’identification secondaires lorsqu’il tente d’accéder à l’application ou au service. Ces informations d’identification secondaires représentent l’identité de l’utilisateur dans le domaine où réside l’application ou le service. Ils sont généralement requis par le serveur Web qui héberge l’application ou le service afin qu’il puisse prendre la décision d’autorisation la plus appropriée.
Avec AD FS, les organisations peuvent contourner les demandes d’informations d’identification secondaires en fournissant des relations d’approbation (approbations de fédération) que ces organisations peuvent utiliser pour projeter l’identité numérique d’un utilisateur et les droits d’accès aux partenaires approuvés. Dans cet environnement fédéré, chaque organisation continue de gérer ses propres identités, mais chaque organisation peut également projeter et accepter des identités d’autres organisations en toute sécurité.